??摘要：隨著各種系統漏洞的不斷披露，加上Android系統碎片化嚴重，移動應用漏洞安全問題還將進一步加深、演化。

? ?從1月的一大波Android銀行木馬襲擊，到3.15晚會公民信息泄露事件披露;從5月的“勒索病毒Wanncry”變種在移動端侵襲，到11月的手機變成挖礦機;2017年移動互聯網安全事件一波未平一波又起，黑客攻擊手段不斷進化，引發了一系列新的安全威脅和挑戰。

??面對不斷升級的安全威脅，更多移動應用開發企業意識到保護移動應用安全不能僅僅依賴移動安全廠商，移動應用自身漏洞安全問題同樣需要重視。

為了讓移動應用開發者及移動互聯網企業更加了解移動應用漏洞安全問題，通付盾移動安全實驗室基于全渠道應用監測平臺，對2017年移動應用漏洞數據進行匯總分析，公布以下數據結論供廣大用戶、開發者及企業參考：

2017年全網移動應用總量560萬+(版本重復不累計)，同比2016年增長4.30%，其中85萬+的高危漏洞應用，共包含高危漏洞總計840萬+，平均每1個移動應用至少含有1.5個高危漏洞。

▲數據來源：通付盾移動安全實驗室全渠道應用監測平臺

通付盾移動安全實驗室安全同時基于全渠道應用監測平臺，對用戶危害巨大的安全漏洞進行分析，給出2017年移動應用十大高危漏洞(按照嚴重程度給予排名)：

2017移動應用十大高危漏洞

1. WebView遠程代碼執行漏洞

通付盾移動安全實驗室安全專家指出，所有Android API level 16以及之前的版本皆存在遠程代碼執行安全漏洞，曾有多款Android流行應用被曝出高危掛馬漏洞：點擊消息或朋友社區圈中的一條網址時，用戶手機就會自動執行被掛馬的代碼指令，從而導致被安裝惡意扣費軟件、向好友發送欺詐短信、通訊錄和短信被竊取以及被遠程控制等嚴重后果。大批TOP應用如微信、QQ、快播、百度瀏覽器等均受到不同程度影響。

2. 界面劫持漏洞

安全專家表示，該類漏洞可致用戶關鍵信息，例如賬號、密碼、銀行卡等信息被竊取。用戶可能在未察覺的情況下將自己的賬號、密碼信息輸入到仿冒界面中，惡意程序再把這些數據返回到服務器中，完成釣魚攻擊。2017年11月，一個駐留在Android MediaProjection功能服務中的該類型漏洞被曝出，該漏洞允許惡意程序在用戶不知情的情況下，捕獲用戶的屏幕內容及錄制音頻，超過78%的Android設備受此漏洞影響。

3. 權限漏洞

安全專家提出，該類型漏洞致使攻擊者惡意讀取文件內容，獲取敏感信息，破壞完整性;或者在Manifest文件中調用一些敏感的用戶權限，導致用戶隱私數據泄露，釣魚扣費等。2017年10月30日至11月5日，國家互聯網應急中心通過自主監測和樣本交換形式，共發現73個竊取用戶個人信息的惡意程序變種，利用該類型漏洞感染用戶29243個，對用戶信息安全造成嚴重的安全威脅。

4. 篡改和二次打包漏洞

該類型漏洞包括：對客戶端程序添加或修改代碼，修改客戶端資源圖片，配置信息、圖標，添加廣告，推廣產品，再生成新的客戶端程序，導致大量盜版應用的出現分食開發者的收入;此外，添加惡意代碼的惡意二次打包還能實現應用釣魚，導致登錄賬號密碼、支付密碼被竊取，短信驗證碼被攔截，轉賬目標賬號、金額被修改等。Apk篡改后被二次打包不僅嚴重危害開發者版權和經濟利益，而且也使app用戶遭受到不法應用的惡意侵害。

5. SharedPref讀寫安全漏洞

安全專家認為，具有SharedPref讀寫安全漏洞的移動應用程序，在SharedPreference文件夾中創建數據存儲文件時，設置為全局可讀或可寫，導致任意第三方應用都可以進行文件讀寫操作，增加用戶敏感信息泄漏風險。6月中旬，亞馬遜和小紅書網站用戶因此類漏洞而遭遇信息泄露危機，大量個人信息外泄導致電話詐騙猛增，致使一位用戶被騙金額高達43萬，小紅書50多位用戶也因此造成80多萬的損失。

6. WebView組件忽略SSL證書驗證錯誤漏洞

通付盾移動安全實驗室安全專家表示，Android WebView組件加載網頁發生證書認證錯誤時，會調用WebViewClient.onReceivedSslError方法，如果該方法調用了handler.proceed()來忽略該證書錯誤，容易受到中間人攻擊，導致隱私泄露。通付盾全渠道應用監測平臺顯示，2017年高達17.59%的移動應用存在該類型漏洞，受影響用戶不計其數。

7. 固定端口監聽風險漏洞

通付盾移動安全實驗室安全專家透露，目前15.24%的手機應用存在固定端口監聽風險漏洞，漏洞產生原因在于，這些應用在開啟Socket服務后，不停接收數據，但是對數據的來源和內容的真實性缺乏驗證。

8. 數據弱加密漏洞

經通付盾移動安全實驗室安全專家分析，開發者在應用開發時對敏感數據沒有做足夠的檢查，直接與其中嵌入的第三方庫交互，可能導致敏感數據泄露、竊取、監控。2017年針對公民個人敏感數據泄露的新聞此起彼伏，11月份爆出趣店百萬學生數據遭泄露事件，包括學生借款金額、滯納金等金融數據，以及學生父母電話、男女朋友電話、學信網賬號密碼等隱私信息均被泄露。

9. 動態注冊廣播暴露風險

Android可以在配置文件中聲明一個receiver或者動態注冊一個receiver來接收廣播信息，攻擊者假冒APP構造廣播發送給被攻擊的receiver，使被攻擊的APP執行某些敏感行為或者返回敏感信息等，如果receiver接收到有害的數據或者命令時可能泄露數據或者導致拒絕服務等，會造成用戶的信息泄漏甚至是財產損失。

10. 業務邏輯漏洞

通付盾移動安全實驗室安全專家認為，業務邏輯漏洞可能使得用戶面對驗證碼或密碼被暴力破解、受到重放攻擊、受到大量垃圾短信，甚至敏感信息(如密碼或信用卡數據)被公開等種種威脅。2017年3月，摩拜單車APP業務邏輯漏洞，充一元錢竟然返現110。有網友利用此漏洞進行多次充值，共充值車費1500元，實際僅支付15元錢。2017年OfO小黃單車客戶端因忽略了該類型漏洞，導致在共享單車“紅包大戰”中日虧損千萬的后果。

此外，移動應用的開發涉及許多第三方SDK，包括支付、統計、廣告、社交、推送、地圖等，除了以上十大高危安全漏洞問題，2017年移動應用第三方SDK安全漏洞對用戶影響范圍同樣巨大。

SDK漏洞一旦被利用，攻擊者就能利用SDK本身的功能發動惡意攻擊，例如在用戶毫無察覺的情況下打開相機拍照，通過發送短信盜取雙因子認證令牌，或將設備變成僵尸網絡一部分。

隨著各種系統漏洞的不斷披露，加上Android系統碎片化嚴重，移動應用漏洞安全問題還將進一步加深、演化。移動應用十大高危漏洞的公布，希望引起用戶及移動互聯網企業對移動應用漏洞的關注與重視。

通付盾移動安全實驗室長期專注移動應用安全，邁進全新的2018年，愿與用戶、廠商、開發者齊心協力，共同解決移動安全漏洞問題。